| |
| |||||||
Log-Analyse und Auswertung: Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
23.03.2008, 12:13
| #1 | |
  |  Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? Hallo könnt ihr alle versteckten Dateien und Ordner sehen? Diese Dateien Zitat:
oder hier Jotti überprüfen lassen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
|
24.03.2008, 09:36
| #2 | |
| | Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? Guten Morgen,
__________________Zitat:
C:\WINNT\system32\remote.exe c:\Recycled\svchost.exe sind tatsächlich nicht mehr da, auch eine Suche nach remote.exe brachte kein Ergebnis. Das File c:\dos\svchost.exe hab ich zu VirusTotal hochgeladen. Ergebnis: ================ Datei svchost.exe empfangen 2008.03.24 09:19:48 (CET) Ergebnis: 6/31 (19.36%) AhnLab-V3 2008.3.22.1 2008.03.24 - AntiVir 7.6.0.75 2008.03.23 - Authentium 4.93.8 2008.03.22 - Avast 4.7.1098.0 2008.03.23 - AVG 7.5.0.516 2008.03.23 - BitDefender 7.2 2008.03.24 BehavesLike:Win32.Malware CAT-QuickHeal 9.50 2008.03.21 - ClamAV 0.92.1 2008.03.24 - DrWeb 4.44.0.09170 2008.03.23 Trojan.DownLoader.origin eTrust-Vet 31.3.5633 2008.03.21 - Ewido 4.0 2008.03.23 - F-Prot 4.4.2.54 2008.03.23 - F-Secure 6.70.13260.0 2008.03.24 - FileAdvisor 1 2008.03.24 - Fortinet 3.14.0.0 2008.03.24 - Ikarus T3.1.1.20 2008.03.24 BehavesLikeWin32.Malware Kaspersky 7.0.0.125 2008.03.24 - McAfee 5257 2008.03.21 - Microsoft 1.3301 2008.03.24 - NOD32v2 2968 2008.03.24 - Norman 5.80.02 2008.03.20 - Panda 9.0.0.4 2008.03.23 Suspicious file Prevx1 V2 2008.03.24 Heuristic: Suspicious File With Outbound Communications Rising 20.36.62.00 2008.03.23 - Sophos 4.27.0 2008.03.24 Mal/Behav-053 Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.24 - TheHacker 6.2.92.252 2008.03.22 - VBA32 3.12.6.3 2008.03.21 - VirusBuster 4.3.26:9 2008.03.23 - Webwasher-Gateway 6.6.2 2008.03.24 - weitere Informationen File size: 202752 bytes MD5: b621186df540ca4e723b59fa55ccf3a4 SHA1: 9df62e5b417bf91f67630cccf47f6054ab4a24b8 PEiD: - packers: UPX packers: UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5A74011700A10E63183803F8C128BB00B6AB97C4 ========================== Ich werd jetzt mal versuchen, die Datei unschädlich zu machen, notfalls löschen., da mein Besuch hier heute zu Ende ist und ich meinen Schwager nicht mit einem Virus alleine lassen möchte. Besten Dank auf jeden Fall schonmal für Deine Hilfe. Grüße, -Lothar |
|
24.03.2008, 10:34
| #3 |
| | Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? Nachtrag:
__________________ich habe jetzt die entsprechenden Dienste in der Services-Liste deaktiviert, dann in der Registry gesucht und dort rausgeworfen (die Dateien waren ja eh schon weg). Diese lästigen Fehlermeldungen ("Datei kann nicht gelöscht werden...") scheinen jetzt auch nicht mehr zu kommen. Bei den Services ist mir dabei noch einer mit sehr abstrusem Namen aufgefallen: "P1ug and P1ay" (ja, eine EINS anstelle des kleinen L). Dazu eine Beschreibung in unleserlichem Kauderwelsch, keine Dateiangabe dazu. In der Registry gab es dazu einen Service-Eintrag, den ich auch löschen könnte. Außerdem gibt es dort aber auch noch einen Eintrag, den ich nicht entfernen kann, auch im abgesicherten Modus nicht. Unter HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\root\ (analog unter ..\ControlSet002\..) gibt es den Schlüssel LEGACY_P1UGP1AY mit Wert "NextInstance = 1" Darunter in Subschlüssel "0000" mit den Werten Class = LegacyDriver ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1} ConfigFlags = 0 DeviceDesc = P1ug and P1ay Legacy = 1 Service = P1ugP1ay Die Suche nach der Klasse {8ECC055D-047F-11D1-A537-0000F8753ED1} bringt Folgendes: HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{Schlüssel}: Class = LegacyDriver EnumPropPages32 = SysSetup.Dll,LegacyDriverPropPageProvider Icon = -19 NoDisplayClass = 1 NoInstallClass = 1 SilentInstall = 1 Frage 1: sagt das jemandem etwas? Frage 2: müssen wir uns Sorgen machen? Ich meine, der Service selbst ist ja jetzt erstmal weg... Frage 3: warum kann ich den Schlüssel und seine Unterelemente nicht entfernen? Wenn Ihr mir Frage 2 mit NEIN beantwortet bin ich im Grunde natürlich schon zufrieden...  Schöne Rest-Ostern, -Lothar |
|
| Themen zu Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? |
| adobe, agent, antivir, avira, bho, boot, button, drivers, dsl, explorer, gelöscht, handel, hijack, hijackthis, internet, internet explorer, links, micro, nvidia, programme, rojaner gefunden, scan, sicherheit, software, system, system32, trojaner, trojaner gefunden, update |
Hybrid-Darstellung
